Un virus que puede robar información financiera de las personas, principalmente credenciales para acceder a cuentas bancarias, está circulando y pone en peligro a muchos argentinos.

Actualmente, existe una nueva estafa que circula por internet y pone en peligro millones de cuentas bancarias. Se trata de Mekotio, un malware que se vio por primera vez en 2015 y que, en 2023 continua con una importante actividad en varios países de América Latina.

De este modo, dicho virus tiene como objetivo robar información financiera de las personas, principalmente credenciales para acceder a cuentas bancarias o robar datos de tarjetas de crédito.

En ese sentido, Mekotio integra la lista de troyanos bancarios de América Latina, una familia de programas maliciosos que tienen capacidad de realizar distintas acciones, pero que se destacan por suplantar la identidad de bancos mediante ventanas emergentes falsas y de esta manera robar información sensible de las víctimas.

Cabe mencionar que, en el caso de Mekotio, en lo que va de 2023 se detectaron más de 70 variantes de este troyano bancario. Si bien en 2021 las fuerzas de seguridad españolas arrestaron a 16 personas vinculadas a los troyanos bancarios Mekotio y Grandoreiro, se cree que los desarrolladores de Mekotio colaboraban con otros grupos de cibercriminales, lo que explica que siga tan activo este malware.

Asimismo, en América Latina, las detecciones de los sistemas de ESET muestran que Argentina (52%) es el país con más actividad de este Mekotio, seguido por México (17%), Perú (12%), Chile (10%) y Brasil (3%).

Por otro lado, también se registran detecciones de esta amenaza en España, Italia y Ucrania, lo que muestra que continuaron expandido sus campañas.

¿Cómo ataca Mekotio?

El cuerpo del correo contiene la instrucción de “abrir en una computadora con Windows”. Esto probablemente está relacionado a que el malware está orientado a este sistema operativo.

El mensaje incluye un enlace que en caso de hacer clic descarga un archivo comprimido (ID-FACT.1684803774.zip) que simula ser la supuesta factura, pero al ser descomprimido se extrae un archivo de instalación de Windows (MSI) cuyo nombre es FACT646c1.msi. Este archivo contiene varios elementos.

Entre ellos, un archivo DLL (Binary.tlsBpYCH.dll) que contiene una variante del malware Mekoti, que en este caso es detectada por las soluciones de seguridad de ESET como Win32/Spy.Mekotio.GO.

¿Cómo estar protegidos de los troyanos bancarios?

Es necesario contar en la computadora o en el smartphone con un programa o aplicación de seguridad que ofrezcan herramientas antispam que bloqueen y eliminen estos correos de malspam y en todo caso que detecten el programa malicioso y eviten su instalación.